上周的研究人员IEEE欧洲议会表示,他们在最近的一项研究中发现了234种Android应用程序将向用户发送“麦克风允许使用”通过超声信号跟踪用户信息的请求。基于超声跨设备跟踪技术(Ultrasonic Cross-Device Tracking,uXDT)市场和广告公司很多“宠儿”。
电视广告或网页广告可以植入超声波音频信标,移动带接收器APP你可以收集这些信标。因此,广告商可以通过该技术跟踪用户信息,创建个性化档案,分析设备收集的数据,了解用户的兴趣,从而向每个用户推荐他们感兴趣的广告。
越来越多的APP开始使用uXDT技术
在这项研究中,研究人员针对VirusTotal数百万的服务Android分析了应用程序,发现少数应用程序被称为Shopkick和Lisnr超声波音频技术。许多应用程序都采用了SilverPush SDK,这是一个跨设备跟踪用户的开发者SDK。SilverPush、Lisnr和Shopkick都是为开发者准备的SDK,这三款SDK移动设备使用超声波信标发送信息。
开发者可以通过SilverPush Lisnr 和Shopkick 用于跟踪用户的位置。研究人员分析了大量的位置Android应用后发现使用 Lisnr和Shopkick SDK制造商不多,但使用它们SilverPush SDK但有很多人。该报告还提到,在研究人员访问的35家德国零售店中,有4家超声波信标。
早在2015年,就有一项研究表明样本中有6-7个APP使用了SilverPush SDK,因此,该公司监控了约1800万部智能手机,但这一数量正在上升。
在2016年的BlackHat黑客大会上有研究人员uXDT该技术已被展示,并指出该技术可以通过反匿名暴露Tor用户的真实信息。(例如,在正常情况下,用户不会通过比特币留下真实的身份信息,但恶意网站可以通过匿名 *** 跟踪用户的真实身份,例如Tor洋葱 *** ,浏览网页的用户身份。
隐私安全将何去何从?
虽然uXDT目前还没有应用技术“误入歧途”,但它仍然引发了许多对隐私的担忧——app无需任何移动 *** 或无线 *** ,就可以通过麦克风接收超声波进行跟踪活动。研究报告提到:
“SilverPush监控与合法跟踪之间的距离实际上缩小了。SilverPush和Lisnr采用类似的通信协议和信号处理 *** 。即使用户指导Lisnr跟踪地理位置,SilverPush该跟踪功能的应用名称不会公开使用。”
2014年斯诺登事件曝光后,披露文件提到了美国情报机构如何在不同城市之间获得外国乘客的趋势:机场将收集这些人使用的设备MAC地址,全国各地的咖啡馆、餐馆和零售店WiFi热点也会进行MAC地址识别,情报机构比较两者。国外媒体认为,超声波技术甚至可以更好地跟踪夸张设备的用户趋势。
如何保护自己?
由于我们无法阻止超声波信号在自己周围传输,为了降低智能手机被监控的风险,***通过严格限制的 *** 是严格限制APP启动设备“请求”。
换句话说,我们只需要运用自己的常识。例如,如果Skype请求“使用麦克风”,显然很合理,因为在Skype中将用到这一功能。但倘若美妆或服饰APP发送此请求的结果如何?作为用户,请求应严格拒绝。
为了取消这些不必要的东西APP请求,一些Android例如,一加为用户提供了一种名称“隐私指南”(Privacy Guard)用户可以通过此功能禁止一些功能APP请求与基本功能无关。Android 7和iOS 10用户也可以通过设置实现此操作。
【本文为51CTO专栏“信息安全”请联系原作者(微信号:JW-assoc)】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
